> Nuove regole newsletter: GDPR e Tracciamento Pixel – cosa cambia e cosa fare

Succede un giovedì. Il Garante della privacy pubblica un provvedimento di quarantotto pagine e in quaranta minuti i gruppi WhatsApp dei marketer italiani si riempiono di audio da tre minuti di gente che non ha letto il documento ma ha già un’opinione fortissima. Classico.

Io il documento l’ho letto tutto(se credice!). Si chiama provvedimento n. 284 del 17 aprile 2026, riguarda i tracking pixel nelle email, ed è uno dei testi regolatori più densi di implicazioni tecniche che abbia letto negli ultimi anni(non leggo spesso). È un pezzo da sviluppatore e da chi gestisce infrastrutture email.

Il fatto, ridotto all’osso

I tracking pixel sono quelle immagini invisibili, grandi un pixel, che le piattaforme di email marketing inseriscono nelle newsletter per sapere se l’email è stata aperta. Funzionano così: il server remoto serve l’immagine solo quando il client la richiede, e la richiesta contiene tutti i metadati utili — indirizzo IP, user agent, timestamp, identificativo del destinatario.

Il Garante ha fatto due ispezioni a un provider email e a una piattaforma di marketing automation tra ottobre 2025 e febbraio 2026. Conclusione testuale del provvedimento: i tracking pixel sono usati “pressoché nella totalità dei casi”. Non è una stima al ribasso. È un accertamento.

Il passaggio giuridico chiave è questo: il pixel viene qualificato come fattispecie che ricade nell’articolo 122 del Codice Privacy, ossia la stessa norma dei cookie. L’art. 122 contiene un divieto generale, salvo deroghe: nessuno può archiviare informazioni nel terminale di un utente o accedervi senza consenso preventivo, libero, specifico e informato. La regola esiste dal recepimento della direttiva ePrivacy nel 2012. Quello che mancava era un orientamento esplicito che la applicasse alle email. Adesso c’è.

Sei mesi dalla pubblicazione in Gazzetta Ufficiale per adeguarsi. Poi scatta il regime sanzionatorio dell’articolo 83 del GDPR. Venti milioni o il 4% del fatturato mondiale. Quello che è più alto.

Non è un problema solo italiano

La direttiva ePrivacy è europea. Esiste identica in ogni Stato membro. Il provvedimento del Garante italiano richiama esplicitamente le Linee Guida EDPB 2/2023 del 7 ottobre 2024, che sono il framework condiviso a livello europeo sull’ambito di applicazione tecnico dell’art. 5(3) ePrivacy. Tradotto: il Garante italiano è arrivato per primo, ma l’interpretazione esiste già a livello EDPB.

La CNIL francese — che sulle cose di privacy è notoriamente una cattiva di categoria A — probabilmente seguirà nel giro di mesi. I tedeschi anche. Gli irlandesi hanno tempi più biblici ma ci arriveranno. Chi manda newsletter a cittadini europei ha un problema comunque, ovunque sia la sede dell’azienda.

La parte tecnica interessante (e che nessuno sta commentando)

Nel paragrafo 6 del provvedimento c’è una raccomandazione architetturale precisa che da sviluppatore mi ha fatto drizzare le orecchie. Il Garante, in applicazione dell’art. 25 GDPR (privacy by design), suggerisce questo:

“Il mittente generi un identificativo inintelligibile e non sequenziale e lo associ all’indirizzo di posta elettronica del destinatario, mantenendo tale corrispondenza in un layer interno e separato della piattaforma utilizzata.”

In linguaggio umano: la URL del pixel non deve contenere l’email del destinatario. Né in chiaro, né in base64, né in altri formati facilmente reversibili. Deve essere un identificativo opaco, generato separatamente, la cui corrispondenza con l’indirizzo email vive in un database interno e non transita mai sulla rete pubblica.

Bene: vai a vedere come fa la tua piattaforma. Apri l’HTML di una newsletter recente, cerca il tag <img> del tracking pixel e guarda che URL produce. Se ci trovi dentro la tua email, un hash non “salato”, o qualsiasi stringa che in trenta secondi si riconduce all’indirizzo, quella piattaforma non è pronta. Ed è l’impostazione di default di più piattaforme di quanto immagini.

Questa è la parte del provvedimento che, fuori dai commenti generalisti, richiede lavoro tecnico vero — non un plugin “privacy compliance” scaricato al volo dal repository.

Cosa puoi fare senza consenso (le tre deroghe)

Il provvedimento non è il paragrafo di apertura di un romanzo distopico. Il paragrafo 5 elenca tre casi in cui il consenso non serve.

Statistiche aggregate anonime. Puoi misurare l’open rate globale di una campagna senza chiedere consenso, a condizione che tu usi un pixel identico per tutti i destinatari (non un pixel univoco per utente) e anonimizzi IP e client. Risultato: sai che una campagna è stata aperta dal 34%, non sai chi. Numerone tondo, zero profilazione individuale.

Sicurezza e autenticazione. Reset password, conferma account, portabilità dati, gestione di richieste GDPR. Qui il pixel serve a verificare che il messaggio sia arrivato a casa giusta e la deroga è piena.

Comunicazioni istituzionali o di servizio obbligatorie. Modifiche contrattuali, notifiche di data breach, reminder di scadenze, avvisi di phishing. Legittimo.

Quello che non è legittimo senza consenso è il caso ordinario: traccio chi apre per capire se l’oggetto funziona, adatto la frequenza in base all’interesse del singolo, profilo chi è caldo e chi è freddo, personalizzo il prossimo invio. Cioè esattamente quello che fanno Mailchimp, Brevo, ActiveCampaign, HubSpot, Klaviyo, FluentCRM, Substack — out of the box, di default, dal giorno uno.

Il falso problema che qualcuno sta già vendendo

Appena uscito il provvedimento, il mio avvocato Alessandro Vercellotti — che si occupa di diritto digitale e queste cose le mastica per mestiere — ha segnalato una cosa che vale la pena ripetere. Stanno già girando agenzie che propongono il “doppio consenso rigido”: una casella per la newsletter, un’altra separata per il tracking, entrambe obbligatorie all’iscrizione. Prezzo dell’intervento: sostanziosamente elevato. Fretta: altissima.

Il problema è che il Garante ha scritto l’opposto.

Il testo del paragrafo 6 è esplicito: il consenso al tracking può essere ricompreso in quello più generale alla newsletter, purché la richiesta sia neutra e purché — questo è il punto che cambia tutto — la revoca sia granulare. Una casella all’iscrizione va bene, ma poi l’utente deve poter staccare solo il tracking senza perdere la newsletter. Pannello preferenze accessibile dal footer di ogni email. Punto.

Come ha fatto notare Vercellotti, chi sta vendendo il doppio consenso o non ha letto il documento, o sta scommettendo che non lo leggerai tu. In entrambi i casi, stessa regola: chiedi una seconda opinione prima di firmare preventivi(magari chiedi proprio a lui che è veramente bravo).

Le quattro conseguenze, senza edulcorare

1. L’open rate come KPI è in terapia intensiva

Una fetta della tua base iscritti finirà nel segmento “newsletter sì, tracking no”. Per loro l’apertura non sarà più misurabile. Se fatturi al cliente sulla base dell’open rate, inizia oggi a costruire un modello alternativo: click su link di valore, risposte dirette, conversioni attribuibili a valle. L’open rate sopravvive come indicatore tecnico di consegna. Come proxy di engagement, è in declino.

2. Il pannello preferenze è codice, non compliance

Il pannello di revoca granulare che il provvedimento impone non è un checkbox nell’email. È una pagina vera, linkata dal footer, collegata al CRM, che persiste le scelte dell’utente come subscriber property, e che modifica il comportamento del rendering del pixel in fase di invio. Se oggi la tua piattaforma non espone né una UI per l’utente né un hook sviluppatore per sopprimere condizionalmente il pixel, stai costruendo debito tecnico a velocità di incendio.

3. Le sanzioni non sono più il teatrino dei 30.000 euro

Fino al 4% del fatturato mondiale. Nessuno parte dal massimale, ma il contesto di enforcement è caldo: nella stessa settimana in cui sono uscite queste linee guida, il Garante ha comminato una sanzione da 12,5 milioni di euro a Poste Italiane e Postepay su un caso diverso (dispositivo ThreatMetrix nelle app BancoPosta). L’Autorità non sta dormendo.

4. La tua piattaforma di email è il primo collo di bottiglia

Tre verifiche che puoi fare oggi, senza chiamare nessuno. Apri l’HTML di una newsletter recente e guarda la URL del pixel: contiene l’email del destinatario (in chiaro o in formati banalmente reversibili)? Se sì, la piattaforma non è privacy-by-design secondo i criteri del Garante. Apri il pannello admin e prova a inviare la stessa campagna a due segmenti con politiche di tracking diverse: ci riesci senza duplicare la campagna? Se no, il workflow non regge il nuovo regime. Cerca nella documentazione l’hook o il filtro che permette di sopprimere il pixel condizionalmente per-subscriber: esiste? Se no, scrivi al supporto della piattaforma, subito.

Sei mesi. Che non sono sei mesi

Nel software sappiamo una cosa che il diritto spesso ignora: le tempistiche di sviluppo non sono lineari. Se adeguarsi richiede audit del database, aggiornamento informativa, intervento sul CRM, costruzione del pannello preferenze, eventuale migrazione di piattaforma, campagna di re-consent, testing end-to-end, monitoring post-deploy — sei mesi sono un calendario stretto. Non largo.

Chi inizia a fine estate lavora di fretta. Chi inizia a ottobre arriva in ritardo. Chi arriva in ritardo prende quello che resta del mercato, che di solito non è il meglio: piattaforme rigide, consulenze frettolose, soluzioni patch. Il primo che si muove con ordine può scegliere. Piattaforma, partner, architettura, tempi.

Fonti

• Provvedimento n. 284 del 17 aprile 2026 — Garante Privacy (testo integrale)
• Comunicato stampa ufficiale del Garante
• Linee Guida EDPB 2/2023 sull’art. 5(3) ePrivacy
• Legal for Digital — Alessandro Vercellotti

Se hai una newsletter attiva e finora hai letto solo gli audio di tre minuti, questo è il segno. Il provvedimento è lì, dura meno di un pomeriggio leggerlo, e contiene tutto quello che serve per capire da dove partire. Tra sei mesi la conversazione cambierà. Non in meglio per chi avrà rimandato.